Intrusion Alarm ?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Karl
Beiträge: 11
Registriert: Sa 12.01.2019, 01:37

Intrusion Alarm ?

Beitrag von Karl »

Hallo,

Ich wollt mal in die Runde fragen, wie es andere machen…

Es gibt ja das alert center. Ist gut, aber doch wenig hilfreich. Da bekomm ich Meldungen was die Firewall abgefangen hat.
Viel wichtiger sind ja „suspekte“ Verbindungsversuche.

Ich hab eine drop Regel, von innen nach außen, mit der ich versuche solche, erfolgreichen Infektionen, bzw. deren Auswirkungen, zu erkennen.

Leider bekomme ich dafür keinen Alert, sondern muß das log manuell prüfen.

Gibt es da bessere Ansätze ?

Karl

horschd
Beiträge: 25
Registriert: Mo 28.06.2021, 11:39

Beitrag von horschd »

Gute Frage:

Du willst also anstelle von einer E-Mail, welche die UTM automatisch via Alerting-Center verschickt, auf andere Art und Weise mitbekommen,
wenn das IDS/IPDs eine verdächtige Verbindung blockt??!?



Mir würde da die SNMP-Schnittstelle einfallen, welche man ja aktiv "pollen" kann nach solchen Events, jedoch habe ich nichts Passendes in der MIB gefunden der UTM.

Oder du checkst das Syslog eines remote-Syslog-Servers, welchen du der UTM mitgibst?

Nice to have / Feature request wäre eine Anbindung vom IDS/IPS der UTM an die SIEM Schnittstelle, sodass andere System wie zB OpenVAS derartige Events auch mitbekommen



Unabhängig davon:
Selbst wenn du es "mitbekommst", bringt dir hier erst wieder ein EDR und ein Vulnerability-System etwas, um auch das Endgerät vom Netz automatisiert zu entkoppeln, denke ich...

Antworten